PROVVEDIMENTO 8 aprile 2009

Prescrizioni in materia di operazioni di fusione e scissione fra
societa’ operanti nel settore bancario.
(pubblicato sulla Gazzetta Ufficiale n. 106 del 09/05/2009)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), con particolare riferimento agli articoli 2, comma 2, 11, comma 1, lettera a) e 154, comma 1, lettere c) e h);
Considerati i recenti provvedimenti adottati dal Garante a seguito di operazioni societarie di fusione e scissione, con specifico riguardo ad alcune societa’ operanti nel settore bancario (Provv.ti 11 dicembre 2008, doc. web. n. 1584328 e 19 dicembre 2008, doc. web n. 1584272);
Considerata la ricorrenza di dette operazioni, che determinano il trattamento di dati personali di un numero non di rado elevato di soggetti interessati (nella qualita’, ad esempio, di lavoratori, fornitori o clienti), anche per societa’ che operano in contesti diversi da quello bancario;
Ritenuta l’opportunita’ di chiarire gli adempimenti che devono essere posti in essere dai titolari del trattamento coinvolti nelle operazioni di fusione e scissione affinche’ il trattamento sia conforme alla disciplina di protezione dei dati personali, con particolare riguardo alle modalita’ suscettibili di essere utilizzate per informare gli interessati dell’avvenuta modificazione del titolare del trattamento per effetto della fusione o scissione;
Considerato che, per effetto della fusione per incorporazione, la societa’ incorporante assume i diritti e gli obblighi della societa’ incorporata, proseguendo in tutti i rapporti (attivi e passivi) della medesima (anche processuali) anteriori alla fusione (art. 2504-bis, comma 1, cod. civ.); considerato altresi’ che il medesimo effetto si produce anche in relazione alla fusione derivante dalla confluenza di piu’ societa’ in un nuovo soggetto;
Considerato che, per effetto della fusione, anche i dati personali trattati dalla societa’ incorporata (o dalle societa’ partecipanti all’operazione) in relazione ai rapporti destinati a confluire in quella incorporante (o nella societa’ risultante dall’operazione) verranno trattati da quest’ultima senza soluzione di continuita’;
Rilevato che, per effetto della fusione, la societa’ incorporante (o quella risultante dall’operazione) diviene cosi’ unico titolare del trattamento in relazione ai dati personali precedentemente trattati senza che si configuri alcuna (nuova) raccolta di dati;
Rilevato che, argomentando dalla modifica introdotta dal decreto legislativo n. 6/2003 all’art. 2504-bis, comma 1, cod. civ., si sono di recente pronunciate nel senso della «continuita’» tra i soggetti interessati dalla fusione anche le Sezioni unite della Corte di cassazione, precisando che «il legislatore ha […] (definitivamente) chiarito che la fusione tra societa’, prevista dagli artt. 2501 c.c. e segg., non determina, nella ipotesi di fusione per incorporazione, l’estinzione della societa’ incorporata, ne’ crea un nuovo soggetto di diritto nell’ipotesi di fusione paritaria; ma attua l’unificazione mediante l’integrazione reciproca delle societa’ partecipanti alla fusione. Il fenomeno non comporta, dunque, l’estinzione di un soggetto e (correlativamente) la creazione di un diverso soggetto, risolvendosi […] in una vicenda meramente evolutiva-modificativa dello stesso soggetto, che conserva la propria identita’, pur in un nuovo assetto organizzativo» (Cass. Sez. un., 8 febbraio 2006, n. 2637);
Considerato che pure la scissione rileva dal punto di vista della protezione dei dati personali quale vicenda evolutiva-modificativa della societa’ scissa, tenendo anche conto della nuova definizione contenuta nell’art. 2506 cod. civ. (nella quale l’operazione viene identificata nell’assegnazione del patrimonio della societa’ scissa, anziche’ nel trasferimento dello stesso, secondo la dizione presente nel previgente l’art. 2504-septies cod. civ.) e rilevato che l’art. 2506, terzo comma, cod. civ. prevede la possibilita’ di scioglimento senza liquidazione della societa’ scissa che, quindi, non si estinguerebbe (secondo la previsione dell’art. 2487 cod. civ.), ma continuerebbe ad operare attraverso la mutata struttura organizzativa risultante dalla scissione (cfr. T.A.R. Toscana, Sez. II, 26 giugno 2008, n. 1687);
Considerato altresi’ che la sopra evidenziata continuita’ dei rapporti in corrispondenza delle operazioni di fusione e scissione risulta anche, con specifico riferimento al settore bancario, dall’art. 57, comma 4, decreto legislativo 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia), secondo il quale i «privilegi e le garanzie di qualsiasi tipo, da chiunque prestate o comunque esistenti, a favore di banche incorporate da altre banche […] ovvero di banche scisse conservano la loro validita’ e il loro grado, senza bisogno di alcuna formalita’ o annotazione, a favore, rispettivamente, della banca incorporante, della banca risultante dalla fusione o della banca beneficiaria del trasferimento per scissione»;
Rilevato, quindi, che le operazioni di scissione e fusione trovano una disciplina apposita e articolata nel codice civile (e nel testo unico delle leggi in materia bancaria) – della quale e’ necessario tener conto in ragione dei riflessi che la stessa puo’ spiegare rispetto ai profili di protezione dei dati personali – che presenta misure atte a consentire, snellendo gli adempimenti e preservando in pari tempo i legittimi interessi dei soggetti in esse (a vario titolo) coinvolti, la prosecuzione dei rapporti giuridici oggetto delle operazioni societarie;
Considerato che la disciplina di protezione dei dati personali prevede che questi ultimi debbano essere trattati «secondo correttezza» (art. 11, comma 1, lettera a), del Codice), assicurando un livello elevato di tutela dei diritti e delle liberta’ fondamentali «nel rispetto dei principi di semplificazione, armonizzazione ed efficacia» (art. 2, comma 2, del Codice);
Ritenuto che tali garanzie possono essere assicurate fornendo agli interessati i necessari aggiornamenti dell’informativa resa dalla societa’ scissa o dalle societa’ incorporate o comunque partecipanti all’operazione di fusione, e tra essi, in particolare, l’indicazione della nuova denominazione del titolare del trattamento e gli estremi identificativi dell’eventuale nuovo responsabile presso il quale esercitare il diritto di accesso ai dati personali e gli altri diritti previsti dall’art. 7 del Codice;
Rilevato che tali aggiornamenti possono essere effettuati attraverso il sito web delle societa’ interessate dalle operazioni di scissione e fusione, in corrispondenza del loro verificarsi, nonche’ con comunicazione individualizzata agli interessati in occasione della prima circostanza utile di contatto anche per altre finalita’, anche successiva al completamento delle operazioni di scissione e fusione (ad esempio, per la clientela, in sede di invio delle ordinarie comunicazioni di natura commerciale);
Ritenuto che tali modalita’ comunicative possono contribuire a dare una conoscenza compiuta e tempestiva degli elementi del trattamento dei dati personali che possono subire modifiche per effetto delle operazioni societarie considerate nel presente provvedimento, in conformita’ con il principio di correttezza nel trattamento di cui all’art. 11, comma 1, lettera a), del Codice;
Ritenuto, inoltre, che in caso di fusione per incorporazione la societa’ incorporante (o la societa’ risultante dalla fusione) e’ tenuta ad effettuare la notificazione (o integrarla, se gia’ effettuata), nel caso in cui, a seguito dell’incorporazione, siano effettuati trattamenti per i quali la notificazione e’ dovuta;
Ritenuto, altresi’, che in caso di scissione la o le societa’ risultanti dall’operazione sono tenute ad effettuare la notificazione, nel caso in cui, a seguito dell’operazione, vengano effettuati trattamenti per i quali la notificazione e’ dovuta;
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale approvato ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;

Tutto cio’ premesso il Garante:

  1. Ai sensi dell’art. 154, comma 1, lettere c) e h) del Codice prescrive quale misura opportuna alle societa’ coinvolte in operazioni di scissione e fusione di fornire agli interessati i necessari aggiornamenti rispetto all’informativa resa dalla societa’ scissa e dalle societa’ partecipanti alla fusione e, tra essi, in particolare, la nuova denominazione del titolare del trattamento e gli estremi identificativi dell’eventuale nuovo responsabile presso il quale esercitare il diritto di accesso ai dati personali, secondo le seguenti modalita’:
    a) attraverso il sito web delle societa’ interessate dalle operazioni di scissione e fusione, in corrispondenza del loro verificarsi;
    b) con comunicazione individualizzata agli interessati in occasione della prima circostanza utile di contatto, anche per altre finalita’.
  2. Ai sensi degli articoli 37, 38 e 154, comma 1, lettere c) e h) del Codice prescrive che in caso di:
    a) fusione per incorporazione la societa’ incorporante (o la societa’ risultante dalla fusione) effettui la notificazione (o la integri, se gia’ effettuata), nel caso in cui, a seguito dell’incorporazione, siano effettuati trattamenti per i quali la notificazione e’ dovuta;
    b) scissione la o le societa’ risultanti dall’operazione effettuino la notificazione, nel caso in cui, a seguito dell’operazione, siano effettuati trattamenti per i quali la notificazione e’ dovuta.
  3. Dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 8 aprile 2009

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale
Patroni Griffi